Sin saberlo, la Caja de Asignación Familiar de Gironda (CAF) ha publicado en Internet los datos personales de 10.204 de sus beneficiarios. Así lo comunicó a uno de sus proveedores de servicios, en particular encargado de capacitar a sus agentes, para que no se pueda volver a cometer el error.
Un prestador de servicios de CAF se olvida de eliminar datos personales de su web
Según una encuesta realizada por el Unidad de investigación de Radio Francia, la organización de derecho privado habría enviado a uno de sus clientes, en marzo de 2021, un archivo que contiene los datos personales de más de 10.000 de sus beneficiarios. Si bien se eliminaron los nombres y apellidos de este documento para anonimizarlo, se incluyó mucha información: fecha de nacimiento, ingreso mensual, beneficios recibidos, dirección, etc.
Mientras su proveedor de servicios estaba capacitando a nuevos agentes, publicó por error el archivo en su sitio web. » Cuando CAF me dio estos datos, pensé que eran ficticios, dice uno de los empleados de la empresa que prefirió permanecer en el anonimato. No necesitamos datos reales para entrenar, solo datos realistas. El archivo se puso a disposición en mi sitio como parte de una capacitación en línea y no pude eliminarlo después «.
Durante 18 meses, toda la información de más de 10.000 personas estuvo disponible para quien la quisiera en la web. Se publicaron así 181 datos por beneficiario. Radio Francia y pudo encontrar la identidad de la mayoría de estas personas.
Al revelar públicamente datos personales, los riesgos se multiplican
Si el período es para temer la divulgación de documentos relacionados con piratas informáticos, como ocurre con el ransomware, aquí la situación es diferente. Sería un error cometido involuntariamente, en un contexto muy específico y sin querer comprometer la confidencialidad de estos datos personales.
Alexandra Iteanu, abogada especializada en protección de datos, analizó con Radio Francia “ para que una transferencia de datos personales sea legal, debe basarse en una de las seis bases legales que impone el RGPD: consentimiento, contrato, misión de interés público, salvaguarda de intereses vitales, interés legítimo y obligación legal. CAF, por tanto, no tenía derecho a comunicar estos datos si no informaba previamente a los interesados y obtenía su consentimiento. «.
Con tanta información divulgada públicamente, los riesgos de robo de identidad y estafas se multiplican. La Caja Nacional de Asignaciones Familiares (Cnaf) explicó a Radio Francia “ estos datos nunca deberían haber sido puestos en línea por el proveedor de servicios «. La organización ha abierto una investigación interna con el fin de » Comprender cómo podría haber surgido esta situación y poner en marcha un sistema de seguimiento más estricto. «. Finalmente, la CAF de Gironda informará a todos los beneficiarios interesados.